2001年9月11日，兩架被劫持的飛機撞向紐約曼哈頓的高塔，隨即，世貿(mào)中心雙子塔帶著滾滾的火球化為一片廢墟。21世紀初這場重大的災(zāi)難，除了對美國政治、軍事、經(jīng)濟造成巨大影響之外，直接的是對辦公室設(shè)在世貿(mào)大樓上的450家企業(yè)造成了毀滅性的影響。其中著名的公司包括美洲銀行、朝日銀行、德意志銀行、國際信托銀行、肯珀保險公司、馬什保險公司、帝國人壽保險公司、蓋伊·卡彭特保險公司、坎特·菲茲杰拉德投資公司、摩根士丹利金融公司、美國商品期貨交易所等。數(shù)以百計的知名公司在這次災(zāi)難后一蹶不振，更多的是銷聲匿跡，破產(chǎn)倒閉。其中，摩根士丹利損失嚴重，因為它在世貿(mào)中心總共租用了29.8萬平方米的辦公用地，有超過2687名員工。不過，讓人驚奇的是這家美國第二大投資銀行在9·11事件后，短短兩天內(nèi)便恢復了業(yè)務(wù)。其秘訣是，該公司在美國新澤西州設(shè)立了完整的業(yè)務(wù)災(zāi)難備份以及恢復系統(tǒng)。在災(zāi)難發(fā)生后的48小時內(nèi)，摩根士丹利成功啟動了災(zāi)難備份系統(tǒng)，使其業(yè)務(wù)得以恢復。
自2001年以后，全球很多大型企業(yè)的管理者在反思：面對類似9·11這類對企業(yè)能造成毀滅性影響的風險，自己的企業(yè)是否也能像摩根士丹利一樣成功重啟？自己的企業(yè)內(nèi)部是否可以有人或機制能夠預(yù)先識別此類風險，并實施一定的保護和防御措施，終確保企業(yè)在這樣的重大未知風險來臨之時可以永續(xù)經(jīng)營？于是CSO這個概念在企業(yè)運營結(jié)構(gòu)中被反復提出。
所謂CSO（Chief Security Officer，首席安全官），與CIO、CFO、CTO一樣，理論上這是一個企業(yè)內(nèi)部的高階職位，直接向CEO或董事會匯報，綜合管理企業(yè)面臨的安全問題。越來越多面臨種種壓力的企業(yè)認識到，必須把安全問題置于更重要的位置。這標志著安全變成一個關(guān)系業(yè)務(wù)價值和業(yè)務(wù)流程的詞匯。為了有效應(yīng)對大型災(zāi)難性事件，企業(yè)必須早做預(yù)防和準備，而安全系統(tǒng)結(jié)構(gòu)的變化和安全問題的日益重要催生了代CSO。
當然，目前在不同的公司中，CSO有著不同的含義：有的負責保護物理安全，如保護公司數(shù)據(jù)中心各種設(shè)備的安全；有的負責數(shù)字信息安全，如防止公司網(wǎng)絡(luò)遭到黑客的攻擊。而隨著企業(yè)日益信息化和數(shù)據(jù)化，人們發(fā)現(xiàn)，影響企業(yè)持續(xù)經(jīng)營的要件并不全是生產(chǎn)設(shè)備、流水線等，還包括基于信息流和數(shù)據(jù)流的運轉(zhuǎn)機制。因此，當今的企業(yè)安全不僅是一個涉及生產(chǎn)安全、人身安全的概念，更是包括信息技術(shù)、人力資源、通信、設(shè)備管理以及其他組織管控在內(nèi)的綜合性系統(tǒng)安全概念，這也是CSO這一職位的核心職責所在。
自20世紀60年代以來，中國企業(yè)的業(yè)務(wù)和信息化經(jīng)歷了創(chuàng)生、起步、發(fā)展、壯大等階段，中國建立了全世界齊全的工業(yè)生產(chǎn)門類，而如今依托新基建，更是進入了一個持續(xù)整合和優(yōu)化提升的時代。
2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組宣告成立。在這個小組的名字中， 網(wǎng)絡(luò)安全被放置在信息化的前面，標志著中國組織發(fā)展進入新時代，明確了以安全保發(fā)展、以發(fā)展促安全的新理念。
在這一新階段，不同于以往一窮二白的創(chuàng)業(yè)期，中國企業(yè)在業(yè)務(wù)上激進開拓，需要通過制度和流程的保證，進行安全的驅(qū)動，像阿里巴巴的目標一樣，要成為經(jīng)營101年的企業(yè)。這不僅表現(xiàn)在經(jīng)營利潤上要能夠支撐發(fā)展，更重要的是在面臨危機和風險時不能突然死掉。
因此，未來CSO在公司中扮演的角色不可或缺。本書應(yīng)運而生，嘗試解決以下四個問題：
，未來企業(yè)需要什么樣的首席安全官？
第二，如何認識和處理企業(yè)面臨的危機？
第三，在安全要求下，如何在組織中構(gòu)建一個全面的安全體系？
第四，如何面對未知風險對企業(yè)經(jīng)營的挑戰(zhàn)？
本書分為四篇，篇開宗明義地介紹了網(wǎng)絡(luò)安全與信息化的內(nèi)涵，讓讀者深刻理解信息技術(shù)對人們生產(chǎn)生活方式的影響、互聯(lián)網(wǎng)對世界和社會基本面的改造，理解在新的格局和環(huán)境下安全與企業(yè)發(fā)展的關(guān)系，以及首席安全官的職業(yè)路徑與技能圖譜。
第二篇主要闡述CSO的一階技能。對一個首席安全官新人來說，從組織內(nèi)部安全事件和事故的處置方面入手是比較高效的。本篇介紹了網(wǎng)絡(luò)安全事件處置的標準管理方法、安全事件分類分級機制的設(shè)定、安全事件的處理和回顧等內(nèi)容，同時闡述了企業(yè)危機應(yīng)對的機制設(shè)計、業(yè)務(wù)連續(xù)性管理和災(zāi)難恢復計劃、應(yīng)急與危機處理的實踐案例等，從互聯(lián)網(wǎng)企業(yè)到金融業(yè)務(wù)，從拒絕服務(wù)攻擊到隱私泄露，運用實例加深讀者對危機應(yīng)對機制的理解。
第三篇則是面向進階期的首席安全官來講解的，重點闡述了貫穿企業(yè)業(yè)務(wù)生命周期的安全能力保障圖譜，內(nèi)容涉及風險管理和內(nèi)控機制的設(shè)計和實施，幫助組織發(fā)現(xiàn)潛在的威脅和弱點，首席安全官如何取得企業(yè)經(jīng)營者的支持并合理有效地分配資源，以及以網(wǎng)絡(luò)安全能力體系為核心，構(gòu)建全面的防護機制的方法和過程。
第四篇介紹成為首席安全官的高階能力。不同于本書前面章節(jié)，本篇內(nèi)容重點闡述首席安全官如何為處理未知的安全風險做準備，因為高階的安全管理者時時面臨的是非常規(guī)的網(wǎng)絡(luò)安全問題。本篇內(nèi)容主要涉及對未知風險的分類和描述，明確風險的來源與目標，以及應(yīng)對未知風險的資源獲取和分配原則；同時討論了預(yù)警機制的建立在時間得到未